Порт USB — одна из главных уязвимостей в ПК. Компьютер слепо доверяет любому USB-устройству, открывая двери для широкого спектра атак. Выдавая себя за клавиатуру, хакерский USB-гаджет способен в течение нескольких секунд изменить множество системных настроек.

В последнее время на рынке появляются гаджеты, изначально «заточенные» на автоматический взлом по USB, так что не нужно самостоятельно заменять прошивку и мучиться с настройками. Всё работает, как говорится, из коробки.

Два из недавних примеров таких устройств — USBdriveby и Teensyterpreter. Что характерно, оба прибора сделаны на крошечной dev-плате Teensy. При подключении к компьютеру они выдают себя за Human Interface Device, эмулируя клавиатуру и мышь.

003

005

004

USBdriveby спроектирован специально для атаки на OS X. После подключения он меняет настройки DNS-сервера на произвольный IP-адрес (для дальнейшего DNS-спуфинга). Такое возможно под OS X без ввода пароля, только с помощью эмуляции устройств ввода. Утилита AppleScript устанавливает окно системных настроек в нужные координаты на экране, а потом USBdriveby нажимает на кнопочки в нужных местах.

Когда DNS-сервер изменился, открывается обратная оболочка через netcat для удалённого исполнения кода.

Teensyterpreter открывает обратную оболочку под Windows (через Powershell). Процесс занимает не более минуты.



17 комментариев

  1. 22.12.2014 at 14:36

    Случаем не этот девайс воткнули Томасу Уайту в сервак в предыдущей статье))))))

    • 22.12.2014 at 14:42

      Если честно, из предыдущей статьи я мало что понял.

      • 22.12.2014 at 14:46

        Я понял что ему какой подширнули usb-чудо девайс…. и понеслось)))

      • https://vk.com/dolmatov_aleksey

        22.12.2014 at 15:18

        Был взлом физическим доступом к серверу по USB порту одного таким или схожим устройством

        • 22.12.2014 at 15:29

          Что сразу же вызывает вопрос: а где в это время был он сам? Если админил по удалёнке, то что это за центр, где можно вот так просто вскрывать корпуса серверов и втыкать USB-девайсы?

          • https://vk.com/dolmatov_aleksey

            22.12.2014 at 15:33

            Сам в шоке и «непонятках»

          • 22.12.2014 at 17:32

            Ну вариантов то несколько..сервера стоят там, где еще чьи то (потому доступ был не только у него), сторож «бабуля»))..кто то из «своих» у кого есть доступ физически к серверам «продал»…вариантов тьма….

  2. 24.12.2014 at 01:52

    И как я понял до сих пор нет чёткого плана по распознаванию перепрошитых USB устройств. То-есть так сказать купи Teensy установи эмулятор и наслаждайся. Вскоре можно ожидать и кучу инструментов для этой «операции» с различными возможностями от эмуляции клавиатуры мыши до эмуляции биометрических устройств. И поднимется великий вопль у Касперского и плачу не будет конца у McAfee и робот Eset разжавеетот солёных слез.

    • 24.12.2014 at 11:56

      Зачем их распознавать, если можно ограничить HID-устройства «белым списком»? И никаких чудес.

      • 25.12.2014 at 00:11

        Создав «белый список» мы в действительности создадим свободный путь для злоумышленника.
        В чем состоит проблема о которой эта статья ? Есть USB устройство скажем клавиатура. Есть USB флеш память которая может быть в реальности устройством в виде Teensy. И так мы подключаем USB флеш память, а она как клавиатура подключается к компьютеру и выполняет определённые действия. В этом и состоит опасность.
        Так если мы создадим «белый список» то что будет мешать нам эмулировать именно это устройство из «белого списка». Например есть клавиатура из «белого списка» — так мы будем эмулировать именно её. Белый список однозначно не решение.

        • 25.12.2014 at 12:36

          Простите, а как Вы собираетесь это сделать? Для того, чтобы эмулировать нужный девайс, нужно, как минимум, знать его VID и PID. А эти данные USB-концентратор устройствам не сообщает. Единственная возможность — это прикинуться клавиатурой во время загрузки, а это очень тернистый путь.

  3. 25.12.2014 at 15:55

    кто знает где можно приобрести подобный девайс, только что бы он был в нормальной привычной оболочке флешки ( не привлекал так внимание =)) )??

  4. 25.12.2014 at 15:57

    вы охренели удалять коментарии???

  5. 25.12.2014 at 15:58

    какого хрена?? можете написать??

  6. 26.12.2014 at 08:05

    AppleScrip не будет работать в 10.9 and 10.10 т.к. там нужна прописка в FireWall, а это уже защищено паролем, так что статья уже не действительна.

  7. 07.01.2015 at 22:09

    Где их можно приобрести ?

Оставить мнение